Saturday, November 3, 2018

Hiểu dự thảo Nghị định về an ninh mạng như thế nào?


Hiểu dự thảo Nghị định về an ninh mạng như thế nào?

Dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng chủ yếu nói đến hệ thống thông tin quan trọng về an ninh quốc gia, chỉ có Chương 5 là liên quan trực tiếp đến doanh nghiệp và người dân.

Điều 25 đặt ra 4 điều kiện mà doanh nghiệp khi hội đủ thì phải lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

Điều kiện thứ nhất hầu như bao quát hết mọi doanh nghiệp nào có dịch vụ trên mạng Internet; chẳng hạn dịch vụ lưu trữ (như Dropbox); Thương mại điện tử (như Amazon); Mạng xã hội (như Facebook); Dịch vụ viễn thông (như Viber); Thư điện tử (như Gmail)…

Điều kiện thứ hai cũng có thể bao quát hết các doanh nghiệp này vì một khi họ có thu thập thông tin về người dùng (dữ liệu về thông tin cá nhân) thì thông thường họ cũng khai thác, phân tích, xử lý các loại dữ liệu này. Tuy nhiên ở đây cần lưu ý các dữ liệu cũng bao gồm thông tin do người dùng tải lên, đồng bộ hoặc nhập từ thiết bị - có nghĩa nội dung đưa lên Facebook, nội dung trao đổi qua Viber, nội dung lưu trên Dropbox hay nội dung thư điện tử trên Gmail cũng bao gồm.

Điều kiện thứ ba loại trừ khá nhiều doanh nghiệp trên (như Amazon; các doanh nghiệp cung cấp dịch vụ khác như Netflix, Spotify cũng không liên quan), trừ các doanh nghiệp cung ứng dịch vụ mà người dùng có tương tác, tức người dùng có thể đăng tải nội dung như Facebook, YouTube, Viber, Gmail… vì chỉ cần một hai người dùng trong số hàng triệu người dùng vi phạm những điểm nêu trong Luật An ninh mạng thì đều bị quy trách nhiệm như “Xuyên tạc lịch sử”; “Thông tin sai sự thật gây hoang mang trong nhân dân”... Đó là vì họ đã “Để cho người sử dụng dịch vụ thực hiện hành vi được quy định tại Khoản 1, 2 Điều 8 Luật An ninh mạng”.

Điều kiện thứ tư đặt ra một yêu cầu ngược. Các nơi ví dụ như Facebook phải “cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng”. Nếu họ cung cấp xem như không hội đủ điều kiện thứ tư nên khỏi lưu trữ dữ liệu, khỏi mở văn phòng tại Việt Nam. Nếu họ từ chối cung cấp sẽ được xem là “vi phạm quy định tại Khoản 4 Điều 8, điểm a hoặc điểm b khoản 2 Điều 26 Luật An ninh mạng” và như thế là hội đủ cả 4 điều kiện!

Ở đây ngoài việc cung cấp thông tin còn có việc phải xóa nội dung được xem là xấu, độc hại. Xóa thì thôi; không xóa là vi phạm nên xem như hội đủ điều kiện. Xem ra Nghị định được soạn rất khéo, rất thông minh. Doanh nghiệp nước ngoài khó lòng kêu ca gì nữa vì yêu cầu lưu dữ liệu và mở văn phòng ở Việt Nam không phải áp dụng cho tất cả. Chỉ áp dụng yêu cầu này cho doanh nghiệp nào để người dùng vi phạm Luật An ninh mạng và không “hợp tác” để “khắc phục” theo quy định tại Luật An ninh mạng. Nói cách khác dự thảo Nghị định này đúng như tên gọi của nó là “quy định chi tiết một số điều” mà thôi, nó không mở rộng, không làm nặng hơn Luật An ninh mạng.



Lưu ở đâu không quan trọng bằng xin phép người dùng

Lưu ở đâu không quan trọng bằng xin phép người dùng .... Để bảo vệ người dùng trước các vụ rò rỉ thông tin của nhiều dịch vụ như Faceboo...